gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-12 21:13:45 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-privilege-escalation

Browse Source
This commit is contained in:
Translator
2025-02-20 00:40:14 +00:00
parent 2156b38aaa
commit 45d08a7c55
9 changed files with 269 additions and 167 deletions
Download Patch File Download Diff File Expand all files Collapse all files

213
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -4,150 +4,98 @@
## Azure SQL
Azure SQL - це сімейство керованих, безпечних та інтелектуальних продуктів, які використовують **движок бази даних SQL Server в хмарі Azure**. Це означає, що вам не потрібно турбуватися про фізичне адміністрування ваших серверів, і ви можете зосередитися на управлінні вашими даними.
Azure SQL - це сімейство керованих, безпечних та інтелектуальних продуктів, які використовують **SQL Server database engine в хмарі Azure**. Це означає, що вам не потрібно турбуватися про фізичне адміністрування ваших серверів, і ви можете зосередитися на управлінні вашими даними.
Azure SQL складається з чотирьох основних пропозицій:
1. **Azure SQL Server**: Azure SQL Server - це керована служба реляційних баз даних, яка спрощує розгортання та управління базами даних SQL Server, з вбудованими функціями безпеки та продуктивності.
2. **Azure SQL Database**: Це **повністю керована служба бази даних**, яка дозволяє вам розміщувати окремі бази даних в хмарі Azure. Вона пропонує вбудовану інтелектуальність, яка вивчає ваші унікальні шаблони бази даних і надає індивідуальні рекомендації та автоматичну оптимізацію.
3. **Azure SQL Managed Instance**: Це для масштабних, повних розгортань SQL Server. Вона забезпечує майже 100% сумісність з останнім SQL Server на місцях (Enterprise Edition) Database Engine, що забезпечує рідну реалізацію віртуальної мережі (VNet), яка вирішує загальні проблеми безпеки, і бізнес-модель, вигідну для клієнтів SQL Server на місцях.
4. **Azure SQL Server на Azure VMs**: Це Інфраструктура як Служба (IaaS) і найкраще підходить для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було на сервері, що працює на місцях.
1. **Azure SQL Server**: Сервер потрібен для **розгортання та управління** базами даних SQL Server.
2. **Azure SQL Database**: Це **повністю керована служба бази даних**, яка дозволяє вам розміщувати окремі бази даних у хмарі Azure.
3. **Azure SQL Managed Instance**: Це для розгортань на більших масштабах, що охоплюють всю SQL Server instance.
4. **Azure SQL Server на Azure VMs**: Це найкраще для архітектур, де ви хочете **контролювати операційну систему** та екземпляр SQL Server.
### Azure SQL Server
### SQL Server Security Features
Azure SQL Server - це система управління реляційними базами даних (RDBMS), яка використовує Transact-SQL для операцій з даними і побудована для обробки систем рівня підприємства. Вона пропонує потужні функції для продуктивності, безпеки, масштабованості та інтеграції з різними додатками Microsoft. Бази даних Azure SQL покладаються на цей сервер, оскільки вони побудовані на цих серверах, і це точка входу для користувачів для доступу до баз даних.
**Доступ до мережі:**
#### Мережа
- Публічний кінцевий пункт (можна обмежити доступ до конкретних мереж).
- Приватні кінцеві пункти.
- Також можливо обмежити з'єднання на основі доменних імен.
- Також можливо дозволити службам Azure отримувати доступ (наприклад, для використання редактора запитів у порталі або для дозволу підключення Azure VM).
**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний кінець або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну:
- Немає доступу: Жодні кінцеві точки не налаштовані, блокуючи вхідні з'єднання, поки не буде налаштовано вручну.
- Публічний кінець: Дозволяє прямі з'єднання через публічний інтернет, підлягаючи правилам брандмауера та іншим конфігураціям безпеки.
- Приватний кінець: Обмежує підключення до приватної мережі.
**Методи аутентифікації:**
**Політика підключення**: Визначте, як клієнти спілкуються з сервером бази даних SQL:
- За замовчуванням: Використовує політику перенаправлення для всіх з'єднань клієнтів зсередини Azure (за винятком тих, що використовують приватні кінцеві точки) і політику проксі для з'єднань ззовні Azure.
- Проксі: Направляє всі з'єднання клієнтів через шлюз Azure SQL Database.
- Перенаправлення: Клієнти підключаються безпосередньо до вузла, що хостить базу даних.
- Аутентифікація **тільки Entra** від Microsoft: Вам потрібно вказати принципали Entra, які матимуть доступ до служби.
- **Аутентифікація як SQL, так і Microsoft Entra**: Традиційна SQL аутентифікація з ім'ям користувача та паролем разом з Microsoft Entra.
- **Тільки SQL** аутентифікація: Дозволяє доступ лише через користувачів бази даних.
#### Методи аутентифікації
Azure SQL підтримує різні методи аутентифікації для забезпечення доступу до бази даних:
Зверніть увагу, що якщо дозволена будь-яка SQL аутентифікація, потрібно вказати адміністративного користувача (ім'я користувача + пароль), а якщо вибрана аутентифікація Entra ID, також потрібно вказати принаймні одного принципала з адміністративним доступом.
- **Аутентифікація лише Microsoft Entra**: Використовує Microsoft Entra (раніше Azure AD) для централізованого управління ідентичністю та єдиного входу.
- **Аутентифікація SQL та Microsoft Entra**: Дозволяє використовувати традиційну аутентифікацію SQL разом з Microsoft Entra.
- **Аутентифікація SQL**: Покладається виключно на імена користувачів та паролі SQL Server.
**Шифрування:**
#### Функції безпеки
- Це називається "Прозоре шифрування даних" і шифрує бази даних, резервні копії та журнали в спокої.
- Як завжди, за замовчуванням використовується керований ключ Azure, але також може бути використаний ключ шифрування, керований клієнтом (CMEK).
**Керовані ідентичності:**
SQL сервери мають **Керовані Ідентичності**. Керовані ідентичності дозволяють вашому серверу безпечно аутентифікуватися з іншими службами Azure без зберігання облікових даних. Це дозволяє отримувати доступ до інших служб, які будуть системно призначеними керованими ідентичностями, і бути доступними іншими службами з іншими ідентичностями, які є користувацькими призначеними керованими ідентичностями. Деякі з служб, до яких SQL може отримати доступ, це Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB або Cosmos DB API для MongoDB, Generic ODBC, Bulk Operations та S3-сумісне об'єктне сховище.
- Можливо призначити системні та користувацькі керовані MI.
- Використовується для доступу до ключа шифрування (якщо використовується CMEK) та інших служб з баз даних.
- Якщо призначено більше ніж одну UMI, можливо вказати за замовчуванням, яку використовувати.
- Можливо налаштувати федеративну клієнтську ідентичність для доступу між орендарями.
Інші функції безпеки, які має SQL сервер, це:
**Microsoft Defender:**
- **Правила брандмауера**: Правила брандмауера контролюють доступ до вашого сервера, обмежуючи або дозволяючи трафік. Це також є функцією самих баз даних.
- **Прозоре шифрування даних (TDE)**: TDE шифрує ваші бази даних, резервні копії та журнали в спокої, щоб захистити ваші дані, навіть якщо сховище скомпрометоване. Це може бути зроблено за допомогою ключа, керованого службою, або ключа, керованого клієнтом.
- **Microsoft Defender для SQL**: Microsoft Defender для SQL може бути активований, пропонуючи оцінки вразливостей та розширений захист від загроз для сервера.
- Корисний для "зменшення потенційних вразливостей бази даних та виявлення аномальних дій".
- Ми поговоримо про Defender у власному уроці (його можна активувати в кількох інших службах Azure).
#### Моделі розгортання
**Резервні копії:**
- Частота резервного копіювання керується політиками зберігання.
Azure SQL Database підтримує гнучкі варіанти розгортання для різних потреб:
**Видалені бази даних:**
- Можливо відновити бази даних, які були видалені з існуючих резервних копій.
- **Одна база даних**:
- Повністю ізольована база даних з власними виділеними ресурсами.
- Чудово підходить для мікросервісів або додатків, які потребують єдиного джерела даних.
- **Еластичний пул**:
- Дозволяє кільком базам даних ділитися ресурсами в межах пулу.
- Економічно вигідно для додатків з коливаннями в патернах використання серед кількох баз даних.
### Azure SQL Database
## Azure SQL Database
**Azure SQL Database** - це **повністю керована платформа бази даних як служба (PaaS)**, яка надає масштабовані та безпечні рішення реляційних баз даних. Вона побудована на останніх технологіях SQL Server і усуває потребу в управлінні інфраструктурою, що робить її популярним вибором для хмарних додатків.
#### Ключові функції
Щоб створити базу даних SQL, потрібно вказати SQL сервер, на якому вона буде розміщена.
### SQL Database Security Features
- **Завжди актуальна**: Працює на останній стабільній версії SQL Server і автоматично отримує нові функції та патчі.
- **Можливості PaaS**: Вбудована висока доступність, резервні копії та оновлення.
- **Гнучкість даних**: Підтримує реляційні та нереляційні дані (наприклад, графіки, JSON, просторові дані та XML).
- **Спадкові функції безпеки SQL Server:**
- Аутентифікація (SQL та/або Entra ID)
- Призначені керовані ідентичності
- Обмеження мережі
- Шифрування
- Резервні копії
-
- **Резервування даних:** Варіанти - локальне, зональне, гео або гео-зональне резервування.
- **Леджер:** Він криптографічно перевіряє цілісність даних, забезпечуючи виявлення будь-якого підроблення. Корисно для фінансових, медичних та будь-яких організацій, що управляють чутливими даними.
#### Мережа
База даних SQL може бути частиною **еластичного пулу**. Еластичні пулі є економічно вигідним рішенням для управління кількома базами даних, ділячи налаштовувані обчислювальні (eDTUs) та сховищні ресурси між ними, з цінами, що базуються виключно на виділених ресурсах, а не на кількості баз даних.
**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний кінець або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну:
- Немає доступу: Жодні кінцеві точки не налаштовані, блокуючи вхідні з'єднання, поки не буде налаштовано вручну.
- Публічний кінець: Дозволяє прямі з'єднання через публічний інтернет, підлягаючи правилам брандмауера та іншим конфігураціям безпеки.
- Приватний кінець: Обмежує підключення до приватної мережі.
#### Azure SQL Column Level Security (Masking) & Row Level Security
**Політика підключення**: Визначте, як клієнти спілкуються з сервером бази даних SQL:
- За замовчуванням: Використовує політику перенаправлення для всіх з'єднань клієнтів зсередини Azure (за винятком тих, що використовують приватні кінцеві точки) і політику проксі для з'єднань ззовні Azure.
- Проксі: Направляє всі з'єднання клієнтів через шлюз Azure SQL Database.
- Перенаправлення: Клієнти підключаються безпосередньо до вузла, що хостить базу даних.
**Динамічне** маскування даних Azure SQL - це функція, яка допомагає **захистити чутливу інформацію, приховуючи її** від несанкціонованих користувачів. Замість того, щоб змінювати фактичні дані, вона динамічно маскує відображувані дані, забезпечуючи, щоб чутливі деталі, такі як номери кредитних карток, були приховані.
#### Функції безпеки
**Динамічне маскування даних** впливає на всіх користувачів, крім тих, хто не підлягає маскуванню (ціх користувачів потрібно вказати) та адміністраторів. Має конфігураційний параметр, який вказує, які SQL користувачі звільнені від динамічного маскування даних, з **адміністраторами завжди виключеними**.
- **Microsoft Defender для SQL**: може бути активований, пропонуючи оцінки вразливостей та розширений захист від загроз.
- **Леджер**: криптографічно перевіряє цілісність даних, забезпечуючи виявлення будь-якого підроблення.
- **Ідентичність сервера**: використовує системно призначені та користувацькі призначені керовані ідентичності для забезпечення централізованого доступу.
- **Управління ключами прозорого шифрування даних**: шифрує бази даних, резервні копії та журнали в спокої без необхідності вносити зміни до програми. Шифрування може бути активоване на кожній базі даних, і якщо налаштовано на рівні бази даних, ці налаштування переважають конфігурацію на рівні сервера.
- **Завжди зашифровано**: це набір розширених функцій захисту даних, які відокремлюють володіння даними від управління даними. Це забезпечує, що адміністратори або оператори з високими привілеями не можуть отримати доступ до чутливих даних.
#### Моделі покупки / Тарифи на послуги
- **На основі vCore**: Виберіть обчислення, пам'ять і зберігання незалежно. Для загального призначення, бізнес-критичних (з високою стійкістю та продуктивністю для OLTP додатків) і масштабується до 128 ТБ зберігання.
- **На основі DTU**: Об'єднує обчислення, пам'ять і I/O в фіксовані тарифи. Збалансовані ресурси для загальних завдань.
- Стандартний: Збалансовані ресурси для загальних завдань.
- Преміум: Висока продуктивність для вимогливих навантажень.
#### Масштабована продуктивність і пули
- **Одині бази даних**: Кожна база даних ізольована і має свої власні виділені ресурси обчислення, пам'яті та зберігання. Ресурси можуть бути масштабовані динамічно (вгору або вниз) без простою (1128 vCores, 32 ГБ4 ТБ зберігання та до 128 ТБ).
- **Еластичні пули**: Ділять ресурси між кількома базами даних у пулі для максимізації ефективності та економії витрат. Ресурси також можуть бути масштабовані динамічно для всього пулу.
- **Гнучкість тарифного плану**: Почніть з невеликої бази даних у тарифному плані загального призначення. Оновіть до бізнес-критичних або гіпермасштабних тарифів, коли потреби зростають.
- **Варіанти масштабування**: Динамічне масштабування або альтернативи автоматичного масштабування.
#### Вбудоване моніторинг та оптимізація
- **Сховище запитів**: Відстежує проблеми продуктивності, визначає основних споживачів ресурсів і пропонує практичні рекомендації.
- **Автоматичне налаштування**: Проактивно оптимізує продуктивність за допомогою функцій, таких як автоматичне індексування та корекція планів запитів.
- **Інтеграція телеметрії**: Підтримує моніторинг через Azure Monitor, Event Hubs або Azure Storage для індивідуальних інсайтів.
#### Відновлення після катастроф та доступність
- **Автоматичні резервні копії**: SQL Database автоматично виконує повні, диференційні та журнали транзакцій резервних копій баз даних.
- **Відновлення до певного моменту**: Відновлює бази даних до будь-якого минулого стану в межах періоду зберігання резервних копій.
- **Гео-резервування**
- **Групи відмови**: Спрощує відновлення після катастроф, групуючи бази даних для автоматичного переключення між регіонами.
**Azure SQL Row Level Security (RLS)** - це функція, яка **контролює, які рядки користувач може переглядати або змінювати**, забезпечуючи, щоб кожен користувач бачив лише дані, що стосуються його. Створюючи політики безпеки з фільтрами або блокуючими предикатами, організації можуть забезпечити детальний доступ на рівні бази даних.
### Azure SQL Managed Instance
**Azure SQL Managed Instance** - це платформа як служба (PaaS) бази даних, яка пропонує майже 100% сумісність з SQL Server і автоматично обробляє більшість завдань управління (наприклад, оновлення, патчування, резервні копії, моніторинг). Вона забезпечує хмарне рішення для міграції баз даних SQL Server на місцях з мінімальними змінами.
#### Тарифи на послуги
- **Загальне призначення**: Економічний варіант для додатків зі стандартними вимогами до I/O та затримки.
- **Бізнес-критичний**: Високопродуктивний варіант з низькою затримкою I/O для критичних навантажень.
#### Розширені функції безпеки
* **Захист від загроз**: Розширений захист від загроз сповіщає про підозрілі дії та атаки SQL-ін'єкцій. Аудит для відстеження та реєстрації подій бази даних для відповідності.
* **Контроль доступу**: Аутентифікація Microsoft Entra для централізованого управління ідентичністю. Безпека на рівні рядків та динамічне маскування даних для детального контролю доступу.
* **Резервні копії**: Автоматизовані та ручні резервні копії з можливістю відновлення до певного моменту.
**Azure SQL Managed Instances** призначені для розгортань на більших масштабах, що охоплюють всю SQL Server instance. Вона забезпечує майже 100% сумісність з останнім SQL Server на місцях (Enterprise Edition) Database Engine, що забезпечує рідну реалізацію віртуальної мережі (VNet), яка вирішує загальні проблеми безпеки, і бізнес-модель, вигідну для клієнтів SQL Server на місцях.
### Azure SQL Virtual Machines
**Azure SQL Virtual Machines** найкраще підходять для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було на сервері, що працює на місцях. Вони можуть мати різні розміри машин і широкий вибір версій та редакцій SQL Server.
**Azure SQL Virtual Machines** дозволяє **контролювати операційну систему** та екземпляр SQL Server, оскільки віртуальна машина буде запущена в службі віртуальних машин, що працює на SQL Server.
#### Ключові функції
Коли створюється SQL Virtual Machine, можливо **вибрати всі налаштування віртуальної машини** (як показано в уроці про віртуальні машини), яка буде хостити SQL Server.
- Це означає, що віртуальна машина буде отримувати доступ до деяких VNet(ів), може мати **прикріплені керовані ідентичності**, може мати змонтовані файлові спільноти... що робить **переходи з SQL** на віртуальну машину дуже цікавими.
- Більше того, можливо налаштувати ідентифікатор програми та секрет для **дозволу SQL отримувати доступ до конкретного сховища ключів**, яке може містити чутливу інформацію.
**Автоматизоване резервне копіювання**: Заплануйте резервні копії для SQL баз даних.
**Автоматичне патчування**: Автоматизує установку оновлень Windows та SQL Server під час вікна обслуговування.
**Інтеграція з Azure Key Vault**: Автоматично налаштовує Key Vault для SQL Server VMs.
**Інтеграція з Defender for Cloud**: Переглядайте рекомендації Defender для SQL у порталі.
**Гнучкість версії/редакції**: Змінюйте метадані версії або редакції SQL Server без повторного розгортання VM.
Також можливо налаштувати такі речі, як **автоматичні оновлення SQL**, **автоматичні резервні копії**, **аутентифікацію Entra ID** та більшість функцій інших служб SQL.
#### Функції безпеки
**Microsoft Defender для SQL**: Інсайти та сповіщення про безпеку.
**Інтеграція з Azure Key Vault**: Безпечне зберігання облікових даних та ключів шифрування.
**Microsoft Entra (Azure AD)**: Аутентифікація та контроль доступу.
## Перерахування
## Enumeration
{{#tabs}}
{{#tab name="az cli"}}
@@ -216,6 +164,30 @@ az sql midb show --resource-group <res-grp> --name <name>
# Lis all sql VM
az sql vm list
az sql vm show --resource-group <res-grp> --name <name>
# List schema by the database
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas?api-version=2021-11-01"
# Get tables of a database with the schema
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas/<schemaName>/tables?api-version=2021-11-01"
# Get columns of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/columns?api-version=2021-11-01"
# Get columns of a table
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas/<schemaName>/tables/<tableName>/columns?api-version=2021-11-01"
# Get DataMaskingPolicies of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Sql/servers/getstorageserver/databases/masktest/dataMaskingPolicies/Default?api-version=2021-11-01"
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default/rules?api-version=2021-11-01"
```
{{#endtab}}
@@ -260,6 +232,31 @@ Get-AzSqlVM
{{#endtab}}
{{#endtabs}}
Додатково, якщо ви хочете перерахувати Dynamic Data Masking та Row Level policies у базі даних, ви можете виконати запит:
```sql
--Enumerates the masked columns
SELECT
OBJECT_NAME(mc.object_id) AS TableName,
c.name AS ColumnName,
mc.masking_function AS MaskingFunction
FROM sys.masked_columns AS mc
JOIN sys.columns AS c
ON mc.object_id = c.object_id
AND mc.column_id = c.column_id
--Enumerates Row level policies
SELECT
sp.name AS PolicyName,
sp.is_enabled,
sp.create_date,
sp.modify_date,
OBJECT_NAME(sp.object_id) AS TableName,
sp2.predicate_definition AS PredicateDefinition
FROM sys.security_policies AS sp
JOIN sys.security_predicates AS sp2
ON sp.object_id = sp2.object_id;
```
### Підключення та виконання SQL запитів
Ви можете знайти рядок підключення (що містить облікові дані) з прикладу [перерахування Az WebApp](az-app-services.md):